Phân tích 3.000 payload ClickFix: Khi malware được phân phối qua API
Nghiên cứu mới về kỹ thuật ClickFix cho thấy các chiến dịch tấn công đang chuyển sang mô hình phân phối malware theo yêu cầu qua API, giúp chúng dễ dàng vượt qua các cơ chế bảo mật truyền...
Kỹ thuật ClickFix, vốn đánh lừa người dùng tự tay thực thi mã độc, đang ngày càng trở nên tinh vi hơn với sự hỗ trợ của hệ thống backend chuyên nghiệp. Nghiên cứu mới nhất từ chuyên gia bảo mật Bert-Jan Pals đã bóc tách hơn 3.000 payload từ các chiến dịch thực tế, cho thấy sự thay đổi đáng kể trong cách thức phân phối malware.
Table Of Content
Sự trỗi dậy của mô hình Malware-as-a-Service
Thay vì sử dụng các script tĩnh, các trang web giả mạo CAPTCHA hiện nay kết nối trực tiếp với server API để nhận lệnh. Khi người dùng truy cập, server sẽ trả về một payload được mã hóa riêng biệt (sử dụng Base64, AES, hoặc TripleDES) tùy theo từng yêu cầu. Dù lớp vỏ bên ngoài liên tục thay đổi để tránh bị phát hiện, lõi malware bên trong vẫn được thực thi thông qua PowerShell runspace.
Sự linh hoạt này cho phép kẻ tấn công tùy biến nội dung theo ngôn ngữ, hệ điều hành (bao gồm cả macOS và Windows) của nạn nhân, khiến các giải pháp antivirus truyền thống gặp khó khăn trong việc nhận diện.
Phương thức mới: Tận dụng thư mục Downloads
Một phát hiện quan trọng khác là kỹ thuật mới nhằm qua mặt tính năng AMSI (Antimalware Scan Interface) của Windows. Thay vì yêu cầu người dùng copy trực tiếp đoạn mã độc vào clipboard, trang web sẽ tự động tải một file về thư mục Downloads. Đoạn mã được copy vào clipboard lúc này chỉ là một lệnh “orchestrator” đơn giản dùng để di chuyển và thực thi file đã tải về.
Kẻ tấn công cũng đã chuyển hướng từ việc sử dụng hộp thoại Run (Windows+R) sang Windows Terminal (Windows+X). Cách làm này không chỉ trông giống thao tác người dùng thông thường hơn mà còn không để lại dấu vết trong registry RunMRU, gây khó khăn cho công tác điều tra số.
Khuyến nghị cho đội ngũ bảo mật
Dù kỹ thuật thay đổi, các dấu hiệu nhận biết (IOC) vẫn tập trung vào chuỗi tiến trình (process chain). Các quản trị viên hệ thống nên đặc biệt chú ý đến các trường hợp explorer.exe hoặc WindowsTerminal.exe khởi chạy powershell.exe, cmd.exe hoặc msiexec.exe và ngay lập tức kết nối ra mạng bên ngoài.
Các biện pháp phòng thủ hiệu quả vẫn bao gồm:
- Sử dụng EDR dựa trên hành vi.
- Thiết lập chính sách kiểm soát ứng dụng để hạn chế các chương trình gọi trình thông dịch script.
- Tuyên truyền người dùng không bao giờ sao chép và thực thi các lệnh lạ vào terminal hoặc hộp thoại hệ thống.
- Giám sát các hành vi bất thường liên quan đến thư mục Downloads kết hợp với việc khởi chạy PowerShell ẩn.
Với việc các nhóm APT như APT28, MuddyWater hay Kimsuky đã bắt đầu tích hợp ClickFix vào chuỗi tấn công của mình, đây được dự báo sẽ là mối đe dọa dai dẳng trong thời gian tới.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.